Jump to content

Менеджер паролей

Менеджер паролей — это компьютерная программа, которая позволяет пользователям хранить и управлять ими . свои пароли [1] для локальных приложений или онлайн-сервисов, таких как веб-приложения , интернет-магазины или социальные сети . [2] Веб-браузер обычно имеет встроенную версию менеджера паролей. Их часто критиковали, поскольку многие хранили пароли в открытом виде, что допускало попытки взлома.

Менеджеры паролей могут генерировать пароли [3] и заполнить онлайн-формы . [2] Менеджеры паролей могут существовать в виде сочетания компьютерных приложений , мобильных приложений или расширений веб-браузера . [4]

Менеджер паролей может помочь в создании паролей , хранении паролей, [1] [5] [6] обычно в зашифрованной базе данных . [7] [8] Помимо паролей, эти приложения могут также хранить такие данные, как данные кредитной карты, адреса и информацию о часто летающих пассажирах. [3]

Основная цель менеджеров паролей — смягчить явление кибербезопасности , известное как усталость паролей , когда конечный пользователь может оказаться перегруженным запоминанием нескольких паролей для нескольких служб и того, какой пароль для какой службы используется. [3]

Менеджеры паролей обычно требуют, чтобы пользователь создал и запомнил один «главный» пароль для разблокировки и доступа ко всей информации, хранящейся в приложении. [9] Менеджеры паролей могут интегрировать многофакторную аутентификацию. [9] с помощью отпечатков пальцев или с помощью программного обеспечения для распознавания лиц . [10] Хотя для использования расширения приложения/браузера это не требуется.

История

[ редактировать ]

Первым программным обеспечением-менеджером паролей, предназначенным для безопасного хранения паролей, был пароль Safe , созданный Брюсом Шнайером , который был выпущен как бесплатная утилита 5 сентября 1997 года. [11] Программа Password Safe, разработанная для Microsoft Windows 95 , использовала Blowfish алгоритм компании Schneier для шифрования паролей и других конфиденциальных данных. Хотя Password Safe был выпущен как бесплатная утилита, из-за действовавших в то время ограничений на экспорт криптографии в США первоначально ее разрешалось загружать только гражданам и постоянным жителям США и Канады. [11] Поскольку Google Chrome стал наиболее используемым браузером, по состоянию на декабрь 2023 года самым используемым менеджером паролей стал встроенный менеджер паролей Google.

Типы

[ редактировать ]

Менеджеры паролей бывают разных форм, каждая из которых имеет свои преимущества и недостатки. Вот разбивка наиболее распространенных типов: [12]

Браузерные менеджеры паролей
Они встроены непосредственно в веб-браузеры, такие как Chrome, Safari, Firefox и Edge. Они предлагают удобный доступ к базовому управлению паролями на устройстве, где используется браузер. Однако некоторым из них может не хватать таких функций, как безопасная синхронизация между устройствами или надежное шифрование.
Локальные менеджеры паролей
Это автономные приложения, установленные на устройстве пользователя. Они обеспечивают надежную защиту, поскольку пароли хранятся локально, но доступ может быть ограничен этим конкретным устройством. Популярные варианты с открытым исходным кодом включают KeepassXC , KeePass и Password Safe .
Облачные менеджеры паролей
Они хранят пароли в зашифрованном виде на удаленных серверах, обеспечивая доступ к ним с поддерживаемых устройств, подключенных к Интернету. Обычно они предлагают такие функции, как автоматическая синхронизация, безопасный обмен и надежное шифрование. Примеры включают 1Password , Bitwarden и Dashlane .
Корпоративные менеджеры паролей
Разработанные для предприятий, они предназначены для управления учетными данными доступа внутри организации. Они интегрируются с существующими службами каталогов и системами контроля доступа, часто предлагая расширенные функции, такие как разрешения на основе ролей и управление привилегированным доступом. Ведущие поставщики включают CyberArk и Delinea (ранее Thycotic).
Аппаратные менеджеры паролей
Эти физические устройства, часто USB-ключи, обеспечивают дополнительный уровень безопасности при управлении паролями. Некоторые из них функционируют как безопасные токены для доступа к учетной записи/базе данных, например Yubikey и OnlyKey , в то время как другие также предлагают автономное хранилище для паролей, например OnlyKey.

Уязвимости

[ редактировать ]

Слабое хранилище хранилища

[ редактировать ]

Некоторые приложения хранят пароли в виде незашифрованного файла, что делает пароли легко доступными для вредоносных программ или людей, пытающихся украсть личную информацию.

Мастер-пароль как единичный сбой

[ редактировать ]

Некоторым менеджерам паролей требуется выбранный пользователем главный пароль или парольная фраза для формирования ключа , используемого для шифрования паролей, хранящихся для чтения приложением. Безопасность этого подхода зависит от надежности выбранного пароля (который может быть угадан с помощью вредоносного ПО), а также от того, что сама фраза-пароль никогда не хранится локально, где ее может прочитать вредоносная программа или человек. Скомпрометированный мастер-пароль может сделать все защищенные пароли уязвимыми, а это означает, что одна точка входа может поставить под угрозу конфиденциальность конфиденциальной информации. Это известно как единая точка отказа .

Зависимость безопасности устройства

[ редактировать ]

Хотя менеджеры паролей обеспечивают надежную защиту учетных данных, их эффективность зависит от безопасности устройства пользователя. Если устройство заражено вредоносным ПО, например Raccoon, которое отлично справляется с кражей данных, защита менеджера паролей может быть сведена на нет. Вредоносные программы, такие как кейлоггеры, могут украсть главный пароль, используемый для доступа к менеджеру паролей, предоставляя полный доступ ко всем сохраненным учетным данным. Анализаторы буфера обмена могут перехватывать конфиденциальную информацию, скопированную из менеджера, а некоторые вредоносные программы могут даже украсть сам зашифрованный файл хранилища паролей. По сути, скомпрометированное устройство с вредоносным ПО, похищающим пароли, может обойти меры безопасности менеджера паролей, оставив сохраненные учетные данные уязвимыми. [13]

Как и в случае с методами аутентификации паролей, регистрацию ключей или акустический криптоанализ для подбора или копирования «главного пароля» можно использовать . Некоторые менеджеры паролей пытаются использовать виртуальные клавиатуры, чтобы снизить этот риск, хотя это все еще уязвимо для кейлоггеров. [ нужна ссылка ] которые фиксируют нажатия клавиш и отправляют информацию о том, какая клавиша была нажата, человеку/людям, пытающимся получить доступ к конфиденциальной информации.

Облачное хранилище

[ редактировать ]

Облачные менеджеры паролей предлагают централизованное место для хранения учетных данных для входа. Однако такой подход вызывает проблемы безопасности. Одной из потенциальных уязвимостей является утечка данных в самом менеджере паролей. Если такое событие произойдет, злоумышленники потенциально смогут получить доступ к большому количеству учетных данных пользователей. Инцидент безопасности, связанный с LastPass в 2022 году, иллюстрирует этот риск. [13]

Безопасность генератора паролей

[ редактировать ]

Некоторые менеджеры паролей могут включать в себя генератор паролей. Сгенерированные пароли можно угадать, если менеджер паролей использует слабый метод случайной генерации «начального числа», из которого все пароли генерируются этой программой. Есть задокументированные случаи, например, с Kaspersky Password Manager в 2021 году, когда ошибка в методе генерации паролей приводила к предсказуемым паролям. [14] [15]

Другие

[ редактировать ]

В статье, опубликованной в 2014 году исследователями из Университета Карнеги-Меллон, было обнаружено, что, хотя браузеры отказываются автоматически заполнять пароли, если протокол страницы входа отличается от того, когда пароль был сохранен ( HTTP или HTTPS ), некоторые менеджеры паролей небезопасно заполняют пароли для незашифрованной (HTTP) версии сохраненные пароли для зашифрованных (HTTPS) сайтов. Кроме того, у большинства менеджеров не было защиты от iframe и перенаправления на основе атак , что потенциально могло раскрыть дополнительные пароли при синхронизации паролей на нескольких устройствах. использовании [16]

Блокировка менеджеров паролей

[ редактировать ]

Различные известные веб-сайты пытались заблокировать менеджеры паролей, но часто отступали, когда их публично оспаривали. [17] [18] [19] В качестве причин упоминались защита от автоматических атак , защита от фишинга , блокировка вредоносного ПО или просто отказ в совместимости. Программное Trusteer обеспечение безопасности клиента от IBM имеет явные возможности для блокировки менеджеров паролей. [20] [21]

Такая блокировка подверглась критике со стороны специалистов по информационной безопасности как снижение безопасности пользователей. [19] [21] Типичная реализация блокировки включает установку autocomplete='off' в соответствующей веб-форме пароля . Следовательно, эта опция теперь игнорируется на зашифрованных сайтах . [16] например Firefox 38, [22] Хром 34, [23] и Safari примерно с 7.0.2. [24]

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Jump up to: а б Вашке, Марвин (2017). Личная кибербезопасность: как избежать киберпреступности и оправиться от нее . Беллингем, Вашингтон: Апресс . п. 198. дои : 10.1007/978-1-4842-2430-4 . ISBN  978-1-4842-2430-4 . OCLC   968706017 .
  2. ^ Jump up to: а б «Что такое менеджер паролей? — Определение из Techopedia» . Techopedia.com . Проверено 14 декабря 2022 г.
  3. ^ Jump up to: а б с «Что такое менеджер паролей? Объясняющее руководство на 2022 год» . Tech.co. ​Проверено 14 декабря 2022 г.
  4. ^ «Определение менеджера паролей» . ПКМАГ . Проверено 14 декабря 2022 г.
  5. ^ Зейтц, Тобиас (2018). Поддержка пользователей при аутентификации по паролю с помощью убедительного дизайна (PDF) (Диссертация). Мюнхенский университет Людвига-Максимилиана. дои : 10.5282/edoc.22619 .
  6. ^ «Менеджеры паролей – Управление информационной безопасности – Вычислительные услуги» . Университет Карнеги-Меллон . Проверено 7 июля 2024 г.
  7. ^ Прайс, Роб (22 февраля 2017 г.). «Менеджеры паролей — это важный способ защитить себя от хакеров. Вот как они работают» . Бизнес-инсайдер . Архивировано из оригинала 27 февраля 2017 г. Проверено 29 апреля 2017 г.
  8. ^ Мохаммадинодушан, Мохаммед; Камбу, Бертран; Филабаум, Кристофер Роберт; Дуань, Нан (2021). «Отказоустойчивый менеджер паролей с использованием физических неклонируемых функций» . Доступ IEEE . 9 : 17060–17070. дои : 10.1109/ACCESS.2021.3053307 . ISSN   2169-3536 .
  9. ^ Jump up to: а б «Лучшие менеджеры паролей для Mac — безопасность» . Tech.co. ​Проверено 14 декабря 2022 г.
  10. ^ «Лучший менеджер паролей для iPhone 2022 года» . Tech.co. ​Проверено 14 декабря 2022 г.
  11. ^ Jump up to: а б «Counterpane Systems обеспечивает безопасность Blowfish для базы данных паролей» . Системы столешниц . Архивировано из оригинала 19 января 1998 г. Проверено 24 июня 2023 г.
  12. ^ Кернер, Шон Майкл (2 мая 2023 г.). «Что такое менеджер паролей?» . Безопасность . Архивировано из оригинала 01 февраля 2024 г. Проверено 1 апреля 2024 г.
  13. ^ Jump up to: а б Валяугайте, Инга (13 июля 2022 г.). «Безопасно ли использовать менеджеры паролей в 2024 году?» . Киберньюс . Архивировано из оригинала 24 марта 2024 г. Проверено 31 марта 2024 г.
  14. ^ Клэберн, Томас (6 июля 2021 г.). «Генератор случайных паролей в Kaspersky Password Manager был примерно таким же случайным, как ваши настенные часы» . Регистр . Архивировано из оригинала 07 марта 2024 г. Проверено 31 марта 2024 г.
  15. ^ Аргире, Йонут (07 июля 2021 г.). «Менеджер паролей Касперского генерирует пароли, которые можно быстро подобрать методом перебора» . Неделя Безопасности . Архивировано из оригинала 2 июня 2023 г. Проверено 31 марта 2024 г.
  16. ^ Jump up to: а б «Менеджеры паролей: атаки и защита» (PDF) . Проверено 26 июля 2015 г.
  17. ^ Райт, Мик (16 июля 2015 г.). «British Gas намеренно взламывает менеджеры паролей, и эксперты по безопасности потрясены» . ТНВ . Проверено 7 июля 2024 г.
  18. ^ Рив, Том (15 июля 2015 г.). «British Gas подчиняется критике по поводу блокировки менеджеров паролей» . Проверено 26 июля 2015 г.
  19. ^ Jump up to: а б Кокс, Джозеф (26 июля 2015 г.). «Веб-сайты, пожалуйста, прекратите блокировать менеджеры паролей. На дворе 2015 год» . Проверено 26 июля 2015 г.
  20. ^ «Менеджер паролей» . Проверено 26 июля 2015 г.
  21. ^ Jump up to: а б Хант, Трой (15 мая 2014 г.). «Эффект Кобры», который отключает вставку в поля пароля» . Проверено 26 июля 2015 г.
  22. ^ «Firefox в Windows 8.1 автоматически заполняет поле пароля, когда автозаполнение отключено» . Проверено 26 июля 2015 г.
  23. ^ Шарвуд, Саймон (9 апреля 2014 г.). «В версии 34 Chrome позволяет получать новый пароль» . Проверено 26 июля 2015 г.
  24. ^ «Re: 7.0.2: Autocomplete="off" все еще не работает» . Проверено 26 июля 2015 г.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Password_manager&oldid=1233812682"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: fec39170dcf4525a3eb31ec3658ebc0a__1720648920
URL1:https://arc.ask3.ru/arc/aa/fe/0a/fec39170dcf4525a3eb31ec3658ebc0a.html
Заголовок, (Title) документа по адресу, URL1:
Password manager - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)